Wouter Hoeffnagel - 06 november 2022

Tools en technieken van de Black Basta ransomware-operatie in kaart gebracht

Tools en technieken van de Black Basta ransomware-operatie in kaart gebracht image

De groepering achter de Black Basta-ransomware gebruikt hun eigen op-maat-gemaakte tools, waaronder EDR-fraudetools. De ontwikkelaar van deze EDR-fraudetools is of was vermoedelijk een ontwikkelaar van de Russische criminele hackersorganisatie FIN7.

Dit blijkt uit een rapport van SentinelLabs, de onderzoeksafdeling van SentinelOne. De Black Basta-ransomware is voor het eerst gezien in april 2022 en had rond september 2022 bij meer dan 90 organisaties een inbreuk veroorzaakt. De snelheid en het volume van de aanvallen bewijzen dat de actoren achter Black Basta goed georganiseerd zijn en over voldoende middelen beschikken. Toch zijn er geen aanwijzingen dat Black Basta probeert verwante ondernemingen te werven, of te adverteren als RaaS op de gebruikelijke darknet-forums of crimeware-marktplaatsen. Dit heeft geleid tot veel speculatie over de oorsprong, identiteit en werking van de Black Basta ransomware-groep.

Black Basta sluit samenwerking nagenoeg uit

Volgens de onderzoekers onderhoudt en implementeert Black Basta eigen, aangepaste tools, waaronder EDR-fraudetools. Verder blijkt uit het onderzoek dat Black Basta samenwerking met andere ransomware-groepen uitsluit. Ze werken hooguit samen met een beperkte en vertrouwde groep van partners, op een vergelijkbare manier als andere 'private' ransomware-groepen zoals Conti, TA505 en Evilcorp dat doen. SentinelLabs vermoed dat de ontwikkelaar van de EDR-fraudetools die Black Basta gebruikt een ontwikkelaar voor FIN7 is of was. Tenslotte blijkt uit het onderzoek dat Black Basta-bij aanvallen een unieke versluierde versie van ADFind gebruiken en gebruik maken van PrintNightmare, ZeroLogon en NoPac voor privilege escalatie.

Een gedetailleerde analyse van de operationele TTP's van Black Basta is hier beschikbaar.

Axians 12/11/2024 t/m 26/11/2024 BN+BW